Leitor de MonitorizaçãoMonitoring Reader

As pessoas atribuídas a função de leitor de monitorização podem ver todos os dados de monitorização numa subscrição, mas não é possível modificar qualquer recurso ou editar as definições relacionadas com a monitorização de recursos.People assigned the Monitoring Reader role can view all monitoring data in a subscription but cannot modify any resource or edit any settings related to monitoring resources.Esta função é adequada para os utilizadores numa organização, tais como engenheiros de suporte ou operações que precisam de ser capaz de:This role is appropriate for users in an organization, such as support or operations engineers, who need to be able to:

Ver dashboards de monitorização no portal e crie seus próprios dashboards de monitorização privados.View monitoring dashboards in the portal and create their own private monitoring dashboards.

Obter a configuração de armazenamento de área de trabalho do Log Analytics.Retrieve the Log Analytics workspace storage configuration.

Nota

Esta função não dá acesso de leitura para dados de registo que foi transmitidos para um hub de eventos ou armazenados numa conta de armazenamento.This role does not give read access to log data that has been streamed to an event hub or stored in a storage account.Veja a seguir para obter informações sobre como configurar o acesso a esses recursos.See below for information on configuring access to these resources.

Contribuidor de MonitorizaçãoMonitoring Contributor

As pessoas atribuídas a função de Contribuidor de monitorização podem ver todos os dados de monitorização numa subscrição e criar ou modificar definições de monitorização, mas não é possível modificar quaisquer outros recursos.People assigned the Monitoring Contributor role can view all monitoring data in a subscription and create or modify monitoring settings, but cannot modify any other resources.Esta função é um superconjunto da função do leitor de monitorização e é adequada para os membros da equipe de monitorização ou fornecedores de serviços geridos que, além das permissões acima, também tem de ser capaz de uma organização:This role is a superset of the Monitoring Reader role, and is appropriate for members of an organization’s monitoring team or managed service providers who, in addition to the permissions above, also need to be able to:

Lista de incidentes (histórico de regra de alerta a ser disparado) para regras de alerta.List incidents (history of the alert rule being triggered) for alert rules.Isto aplica-se apenas ao portal.This only applies to the portal.

Use um namespace do Service Bus ou Hub de eventos, exclusiva e dedicado em todas as definições de diagnóstico pela mesma razão, como mostrado acima.Use a single, dedicated Service Bus or Event Hub namespace across all diagnostic settings for the same reason as above.

Limitar o acesso a contas de armazenamento relacionada com a monitorização ou hubs de eventos por mantê-los num grupo de recursos separados, e utilizar âmbito em suas funções de monitorização para limitar o acesso a esse grupo de recursos.Limit access to monitoring-related storage accounts or event hubs by keeping them in a separate resource group, and use scope on your monitoring roles to limit access to only that resource group.

Nunca conceda a permissão de ListKeys para contas de armazenamento ou hubs de eventos no âmbito da subscrição quando o utilizador necessita apenas de acesso a dados de monitorização.Never grant the ListKeys permission for either storage accounts or event hubs at subscription scope when a user only needs access to monitoring data.Em vez disso, dar estas permissões para o usuário com um recurso ou grupo de recursos (se tiver um grupo de recursos de monitoramento dedicado) escopo.Instead, give these permissions to the user at a resource or resource group (if you have a dedicated monitoring resource group) scope.

Pode fornecer o token para a entidade que precisam para ler a partir do que o armazenamento conta e ele pode listar e ler a partir de todos os blobs nessa conta de armazenamento.You can then give the token to the entity that needs to read from that storage account, and it can list and read from all blobs in that storage account.

Em alternativa, se precisar de controlar esta permissão com o RBAC, pode conceder essa entidade a permissão de Microsoft.Storage/storageAccounts/listkeys/action nessa conta de armazenamento específico.Alternatively, if you need to control this permission with RBAC, you can grant that entity the Microsoft.Storage/storageAccounts/listkeys/action permission on that particular storage account.Isso é necessário para os utilizadores que têm de ser capaz de configurar uma definição de diagnóstico ou iniciar perfil para arquivar numa conta de armazenamento.This is necessary for users who need to be able to set a diagnostic setting or log profile to archive to a storage account.Por exemplo, pode criar a seguinte função RBAC personalizada para um usuário ou aplicativo que precisa apenas ler a partir de uma conta de armazenamento:For example, you could create the following custom RBAC role for a user or application that only needs to read from one storage account:

Pode ser seguido de um padrão semelhante com os hubs de eventos, mas primeiro tem de criar uma regra de autorização de escutar dedicada.A similar pattern can be followed with event hubs, but first you need to create a dedicated Listen authorization rule.Se quiser conceder, acesso a um aplicativo que precisa apenas de ouvir os hubs de eventos relacionados com a monitorização, efetue o seguinte:If you want to grant, access to an application that only needs to listen to monitoring-related event hubs, do the following:

Crie uma política de acesso partilhado no no hub de ou de event hubs que foram criadas para dados de monitorização com apenas afirmações de escuta de transmissão em fluxo.Create a shared access policy on the event hub(s) that were created for streaming monitoring data with only Listen claims.Isso pode ser feito no portal.This can be done in the portal.Por exemplo, poderá chamar "monitoringReadOnly."For example, you might call it “monitoringReadOnly.”Se possível, desejará dar essa chave diretamente para o consumidor e ignore o passo seguinte.If possible, you will want to give that key directly to the consumer and skip the next step.

Se o consumidor tem de ser capaz de obter a chave de ad hoc, conceda ao utilizador a ação de ListKeys para esse hub de eventos.If the consumer needs to be able to get the key ad hoc, grant the user the ListKeys action for that event hub.Isso também é necessário para os utilizadores que têm de ser capaz de configurar uma definição de diagnóstico ou perfil de registo para o stream para os hubs de eventos.This is also necessary for users who need to be able to set a diagnostic setting or log profile to stream to event hubs.Por exemplo, pode criar uma regra RBAC:For example, you might create an RBAC rule: